malware-dash

SIEM: Use Case – Tracking Malware

 SIEM – Security Information und Event Management

Ein SIEM ist eine zentrale stelle für LOG-Daten, dass heißt das SIEM System holt sich in einen bestimmten Interval die Log-Daten ab oder die Log-Daten werden zum SIEM-System geschickt. Das SIEM-System kann hieraus gefahren aufzeigen, Attacken ableiten und Schwachstellen aufzeigen.

Tracking Malware

Ich möchte hier ein mögliches Use Case für das Tracking von Malware erklären und aufzeigen. Benötigt wird hierzu ein bisschen Zeit und ein SIEM System. Das hier gezeigte USE Case ist für das SIEM von McAfee.

Mit den nun folgenden Einstellungen werden alle funde von Viren, Würmen und sonstiger Malware gelistet und dem Benutzer per Alarm aufgezeigt. Zum schluss kann dies mit einem wöchentlichen Report abgebildet werden.

Watchlist

Zu erst werden Watchlisten benötigt, eine wird manuel befüllt und drei werden durch die Alarmierung vom SIEM-System befüllt. Die erste Watchliste ist eine Liste mit allen Signatur-IDs.
1. Watchlist

  • Name: Malware – Noteworthly SIg IDs
  • static
  • Expire: No
  • Type: Signature ID

Befüllt wird die Liste mit diesen Signature IDs:

  • 47-4000001
  • 47-4000026
  • 47-4000086
  • 47-4000088
  • 47-4000127
  • 47-4000129
  • 47-4000131
  • 47-4000132
  • 47-4000134
  • 47-4000136
  • 47-4000147
  • 47-4000151
  • 47-4000152
  • 47-4000166
  • 47-4000167
  • 47-6000156

Und zusätzlich falls der ePO vorhanden ist:

  • 367-1274
  • 367-1275
  • 367-1277
  • 367-1282
  • 367-1283
  • 367-1284
  • 367-1285
  • 367-1286
  • 367-1294
  • 367-1298

2. Watchlist

  • Name: Malware – Recent Sig IDs – 7 Days
  • static
  • Expire: 7 Days
  • Type: Signature ID

3. Watchlist

  • Name: Malware – Recent threat – 7 Days
  • static
  • Expire: 7 Days
  • Type: Threat_Name

4. Watchlist

  • Name: Malware – Infected IPs – 7 Days
  • static
  • Expire: 1 Days
  • Type: IP Adress

Alarm

Damit die Watchlisten einen Sinn ergeben müssen wiederum 3 Alarm erstellt werden. Diese triggern wenn bestimmte Bedingungen erfüllt sind und befüllen damit die 3 noch leeren Watchlisten.

1. Alarm

  • Summary
    • Name: Maleware – New Infected Host detected
    • Severity: 75
    • Condition:Alarm1- Condition

 

 

 

 

  • Device
    • Hier sollte der ACE (falls vorhanden), der ePO (falls vorhanden) und der Reciver ausgewählt werden
  • Action
    • Log Event
    • Update Watchlist: Malware Recent Infected IPs
      • Action: Append
      • Field: Destination IP
      • Watchlist: Malware Recent Infected IPs

2. Alarm

In den nächsten beiden Alarm Einstellungen müssen nur wenige Daten zum ersten Alarm verändert werden.

  • Summary
    • Name: Maleware – New Signitaur ID detected
    • Condition:
      Alarm2 - Condition

 

 

 

 

  • Action
    • Update Watchlist: Malware – Recent Sig ID 7 Days
      • Action: Append
      • Field: Signature ID
      • Watchlist: Malware – Recent Sig ID 7 Days

3. Alarm

  • Summary
    • Name: Maleware – New threat Name
    • Condition:
      Alarm3 - Condition

 

 

 

 

  • Action
    • Update Watchlist: Malware – Recent threats 7 Days
      • Action: Append
      • Field: Threat_Name
      • Watchlist: Malware – Recent threats 7 Days

Report

Damit alle Bedrohungen der letzten Wochen ersichtlich werden, kann dies durch einen Report verwirklicht werden. Dazu habe ich hier einen Report vorbereitet, der nur importiert werden muss.

Dashboard

Um die allgemeine Sittuation sehen zu können wird noch ein Dashboard mit verschiedenen Views benötigt, hierzu steht auch ein Import-Datei zur Verfügung die dann aber noch angepasst werden muss.

  • Import:use-case-tracking-malware-view.vpx
  • Name: Tracking Malware Dashboard
  • Edit Dashboard
  • View: Noteworthly Malware Events by Severity
    • Edit Query
      • Filter
        • Signature ID: Watchlist Malware – Noteworthly Sig IDs
  • Und Speichern.

 

Damit werden alle Events in das Dashboard importiert die etwas mit der Normlisation Rule für Malware zu tun haben. Alle Endeckungen werden Reportet und mit einem Alarm versehen. Gleichzeitig werden die Watchlisten erweitert damit weitere Alarm auf die gleiche IP, Signiture ID oder Threat_Name nicht triggern.

 

ADD YOUR COMMENT

ss